Ilustrados comunidad mundial educativa
Inicio | Escribenos
User: Pass: Recordar ó (Registrate!)

| !Publicar Articulo¡

Evaluación Seguridad de un Sistema de Información

Resumen: Importancia de la información. Riesgo. Seguridad. Delitos accidentales e incidentales. Virus informático. Paradigmas organizacionales en cuanto a seguridad. Consideraciones inmediatas para la auditoria de la seguridad. Personal. Control de residuos. Costo por pérdida de información. Disposiciones que acompañan la seguridad. Consideraciones para elaborar un sistema de seguridad integral. Etapas para implementar un sistema de seguridad. Beneficios.(V)
2,294 visitas
Rating: 0
Tell a Friend
Autor: Jose Alfredo Jimenez

Evaluación Seguridad de un Sistema de Información

 

Importancia de la Información

 

Cuando se habla de la función informática generalmente setiende a hablar de tecnología nueva, de nuevas aplicaciones, nuevosdispositivos hardware, nuevas formas de elaborar información más consistente,etc.

 

Sin embargo se suele pasar por alto o se tiene muy implícitala base que hace posible la existencia de los anteriores elementos. Estabase es la información.

 

Es muy importante conocer su significado dentro la funcióninformática, de forma esencial cuando su manejo esta basado en tecnologíamoderna, para esto se debe conocer que la información:

  • esta almacenada y procesada en computadoras
  • puede ser confidencial para algunas personas o a escala institucional
  • puede ser mal utilizada o divulgada
  • puede estar sujeta a robos, sabotaje o fraudes

Los primeros puntos nos muestran que la información estacentralizada y que puede tener un alto valor y lo s últimos puntos nos muestranque se puede provocar la destrucción total o parcial de la información, queincurre directamente en su disponibilidad que puede causar retrasos de altocosto.

 

Pensemos por un momento que hay se sufre un accidente en elcentro de computo o el lugar donde se almacena la información. Ahora preguntémonos:¿Cuánto tiempo pasaría para que la organización este nuevamente en operación?

 

Es necesario tener presente que el lugar donde se centralizala información con frecuencia el centro de cómputo puede ser el activo másvalioso y al mismo tiempo el más vulnerable.

 

Véase diapositiva 1 y véase diapositiva 2

 

Para continuar es muy importante conocer el significado dedos palabras, que son riesgo y seguridad.

 

Riesgo

Proximidad o posibilidad de un daño, peligro, etc.

Cada uno de los imprevistos, hechos desafortunados, etc., quepuede cubrir un seguro.

Sinónimos: amenaza, contingencia, emergencia, urgencia,apuro.

 

Seguridad

Cualidad o estado de seguro

Garantía o conjunto de garantías que se da a alguien sobreel cumplimiento de algo.

Ejemplo: Seguridad Social Conjunto de organismos, medios,medidas, etc., de la administración estatal para prevenir o remediar losposibles riesgos, problemas y necesidades de los trabajadores, como enfermedad,accidentes laborales, incapacidad, maternidad o jubilación; se financia conaportaciones del Estado, trabajadores y empresarios.

Se dice también de todos aquellos objetos, dispositivos,medidas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso deuna cosa: cierre de seguridad, cinturón de seguridad.

 

Con estos conceptos claros podemos avanzar y hablar lacriminología ya ha calificado los "delitos hechos mediantecomputadora"o por "sistemas de información" en el grupo dedelitos de cuello blanco.

 

 

Crónica del crimen (o delitos en los sistemas de información)

 

Delitos accidentales e incidentales

Los delitos cometidos utilizando la computadora han crecidoen tamaño, forma y variedad.

En la actualidad (1994) los delitos cometidos tienen lapeculiaridad de ser descubiertos en un 95% de forma casual. Podemos citar a losprincipales delitos hechos por computadora o por medio de computadoras estosson:

  • fraudes
  • falsificación
  • venta de información

 

Entre los hechos criminales más famosos en los E.E.U.U. están:

  • El caso del Banco Wells Fargo donde se evidencio que la protección de archivos era inadecuada, cuyo error costo USD 21.3 millones.
  • El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.
  • El caso de un muchacho de 15 años que entrando a la computadora de la Universidad de Berkeley en California destruyo gran cantidad de archivos.
  • También se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgándose una identificación como un usuario de alta prioridad, y tomo el control de una embotelladora de Canadá.
  • También el caso del empleado que vendió la lista de clientes de una compañía de venta de libros, lo que causo una perdida de USD 3 millones.

 

Conclusión

Estos hechos y otros nos muestran claramente que loscomponentes del sistema de información no presentaban un adecuado nivel deseguridad. Ya que el delito se cometió con y sin intención. Donde se logrópenetrar en el sistema de información.

 

 

Virus informático

Definición: El virus informáticoes un programa elaborado accidental o intencionadamente, que se introduce y setransmite a través de diskettes o de la red telefónica de comunicación entreordenadores, causando diversos tipos de daños a los sistemas computarizados.Ejemplo: el virus llamado viernes trece o Jerusalén, que desactivó el conjuntode ordenadores de la defensa de Israel y que actualmente se ha extendido a todoel mundo.

 

Históricamente los virus informáticos fueron descubiertospor la prensa el 12 de octubre de 1985, con una publicación del New York Timesque hablaba de un virus que fue se distribuyo desde un BBS y aparentemente erapara optimizar los sistemas IBM basados en tarjeta gráfica EGA, pero alejecutarlo salía la presentación pero al mismo tiempo borraba todos losarchivos del disco duro, con un mensaje al finalizar que decía "Caíste".

 

Bueno en realidad este fue el nacimiento de su nombre, ya quelos programas con código integrado, diseñados para hacer cosas inesperadas hanexistido desde que existen las computadoras. Y ha sido siempre la obra de algúnprogramador delgado de ojos de loco.

 

Pero las primeras referencias de virus con finesintencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC)empleo empleó una subrutina para proteger su famoso procesador de textosDecmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todoslos archivos de su unidad de disco.

 

Los principales casos de crímenes cometidos empleando porvirus informáticos son:

 

12 de diciembre de 1987. El virus de Navidad Unatarjeta navideña digital enviada por medio de un BBS de IBM atasco lasinstalaciones en los EE.UU. por 90 minutos. Cuando se ejecutaba el virus estetomaba los Adress Book del usuario y se retransmitía automáticamente, ademasque luego colgaba el ordenador anfitrión.

Esto causo un desbordamiento de datos en la red.

 

10 de enero de 1988. El virus Jerusalén seejecuta en una universidad hebrea y tiene como fecha límite el primer viernes13 del año, como no pudieron pararlo se sufría una disminución de lavelocidad cada viernes 13.

 

20 de septiembre de 1988 en Fort Worth, Texas, DonaldGene un programador de 39 años será sometido a juicio el 11 de julio porcargos delictivos de que intencionadamente contaminó el sistema de por serdespedido, con un virus informático el año 85. Sera la primera persona juzgadacon la ley de sabotaje que entro en vigor el 1 de septiembre de 1985. El juicioduro 3 semanas y el programador fue declarado culpable y condenado a siete añosde libertad condicional y a pagar USD. 12000.

Su empresa que se dedicaba a la bolsa sufrió borro de datos,aproximadamente 168000 registros.

 

4 de noviembre de 1988 Un virus invade miles decomputadoras basadas en Unix en universidades e instalaciones de investigaciónmilitares, donde las velocidades fueron reducidas y en otros casos paradas.También el virus se propagó a escala internacional.

Se estableció que la infección no fue realizada por unvirus sino por un programa gusano, diseñado para reproducirse así mismoindefinidamente y no para eliminar datos. El programa se difundió a través deun corrector de errores para correo electrónico, que se movió principalmenteen Internet (Arpanet) y contamino miles de computadoras en todo el mundocontando 6000 computadoras en centros militares en los EE.UU. , incluyendo laNASA, la Fuerza Aérea, el MIT, las universidades de Berkeley, Illinois, Boston,Stanford, Harvard, Princeton, Columbia y otras. En general se determino que lainfección se propago en las computadoras VAX de DEC (digital equipament corp) ylas fabricadas por Sun Microsystems, que empleaban Unix.

Se halla al culpable Robert Morris, estudiante de 23 años,que declara haber cometido un error al propagar el gusano. Morris era el hijo deun experto en seguridad informática del gobierno.

El caso fue investigado por el FBI. Posiblemente se sentenciea Morris por 5 años de prisión y una multa USD. 250000.

 

23 de marzo del 89 virus ataca sistemas informáticos dehospitales, variando la lectura de informes de laboratorio.

 

Y los últimos pero recordados vaccina, hacker, cpw543,natas, antiexe, etc.

 

Conclusión

Estos casos y muchos otros nos muestran que al realizar la auditoría se debe estudiar con mucho cuidado lo que significan los virus. Y conocer los diferentes tipos como ser: caballo de troya, gusano, trampilla, bomba de tiempo, bomba lógica y los recientes macro virus.

Pero como principal punto de partida se debe observar que el sistema:

  • No tenga copias ilegales o piratas
  • Que no exista la posibilidad de transmisión de virus al realizar conexiones remotas o de redes
  • El acceso de unidades de disco flexible sea restringido solo a quienes las necesitan

 

 

Observación

Es muy importante manejar con discreción los resultados quese obtengan de los aspectos de seguridad, pues su mala difusión podría causardaños mayores. Esta información no debe ser divulgada y se la debe mantenercomo reservada.

 

Ambiente propicio para el cultivo del crimen

En la actualidad se nota que los fraudes crecen en forma rápida,incluso mayor que los sistemas de seguridad. Se sabe que en los EE.UU. secometen crímenes computarizados denunciados o no por más de 3 mil millones dedólares.)

 

Es importante para el auditor conocer las causas para que secometan delitos, ya que una vez encontrado el problema se debe observar la raízpara sugerir su solución, entre las causas podemos citar, dos grupos:

Mayor riesgo

  • Beneficio personal
  • Síndrome de Robín Hood
  • Odio a la organización
  • Mentalidad turbada
  • Equivocación de ego
  • Deshonestidad del departamento
  • Problemas financieros de algún individuo
  • Fácil modo de desfalco

Menor riesgo

  • Beneficio de la organización
  • Jugando a jugar

 

Conclusión

Al ingresar al área de seguridad se debe contemplar muyestrechamente las relaciones que hay entre los aspectos: tecnológicos, humano -sociales y administrativos.

 

 

 

Paradigmas Organizacionales en Cuanto a Seguridad

Paradigma: Modelo o ejemplo de algo, En filosofía:Conjunto de ideas filosóficas, teorías científicas y normas metodológicasque influyen en la forma de resolver los problemas en una determinada tradicióncientífica.

Sinónimo: prototipo, muestra, canon.

 

Los paradigmas desempeñan un papel importante en la actualfilosofía de la ciencia, a partir de la obra de Thomas S. Kuhn "Laestructura de las revoluciones científicas" (1962).

 

Del paradigma se desprenden las reglas que rigen lasinvestigaciones. Cuando dentro de un paradigma aparecen anomalías excesivas, seproduce una revolución científica que consiste precisamente en el cambio deparadigma

 

Es muy importante que el auditor conozca los paradigmas queexisten en las organizaciones sobre la seguridad, para no encontrarse con uncontrincante desconocido.

 

 

Entre los principales paradigmas que se pueden encontrarveamos los siguientes:

 

  • Generalmente se tiene la idea que los procedimientos de auditoría es responsabilidad del personal del centro de computo, pero se debe cambiar este paradigma y conocer que estas son responsabilidades del usuario y del departamento de auditoría interna.
  • También muchas compañías cuentan con dispositivos de seguridad física para los computadores y se tiene la idea que los sistemas no pueden ser violados si no se ingresa al centro al centro de computo, ya que no se considera el uso terminales y de sistemas remotos.
  • Se piensa también que los casos de seguridad que tratan de seguridad de incendio o robo que "eso no me puede suceder a mí" o "es poco probable que suceda".
  • También se cree que los computadores y los programas son tan complejos que nadie fuera de su organización los va a entender y no les van a servir, ignorando las personas que puedan captar y usarla para otros fines.
  • Los sistemas de seguridad generalmente no consideran la posibilidad de fraude interno que es cometido por el mismo personal en el desarrollo de sus funciones.
  • Generalmente se piensa que la seguridad por clave de acceso es inviolable pero no se considera a los delincuentes sofisticados.
  • Se suele suponer que los defectos y errores son inevitables.
  • También se cree que se hallan fallas porque nada es perfecto.
  • Y la creencia que la seguridad se aumenta solo con la inspección.

 

El siguiente cuadro es una forma apta para llevar este tipode información. Aunque no puede ser la mejor, pero permite distinguir las ideasque se pretender explicar.

 

 

Viejo

Equilibrio

Nuevo

desequilibrio

RR.HH.

Organización

Operativo

..

 

 

 

 

 

Conclusión

Se deben analizar estos y otros paradigmas de la organización,también es muy importante que el auditor enfrente y evalúe primero sus propiosparadigmas y sus paradigmas académicos.

 

 

Consideraciones Inmediatas para la Auditoría de la Seguridad

A continuación se citarán las consideraciones inmediatasque se deben tener para elaborar la evaluación de la seguridad, pero luego setratarán las áreas específicas con mucho mayor detalle.

 

Uso de la Computadora

Se debe observar el uso adecuado de la computadora y susoftware que puede ser susceptible a:

  • tiempo de máquina para uso ajeno
  • copia de programas de la organización para fines de comercialización (copia pirata)
  • acceso directo o telefónico a bases de datos con fines fraudulentos

 

Sistema de Acceso

Para evitar los fraudes computarizados se debe contemplar deforma clara los accesos a las computadoras de acuerdo a:

  • nivel de seguridad de acceso
  • empleo de las claves de acceso
  • evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo

 

Cantidad y Tipo de Información

El tipo y la cantidad de información que se introduce en lascomputadoras debe considerarse como un factor de alto riesgo ya que podríanproducir que:

  • la información este en manos de algunas personas
  • la alta dependencia en caso de perdida de datos

 

Control de Programación

Se debe tener conocer que el delito más común estápresente en el momento de la programación, ya que puede ser cometidointencionalmente o no, para lo cual se debe controlar que:

  • los programas no contengan bombas lógicas
  • los programas deben contar con fuentes y sus ultimas actualizaciones
  • los programas deben contar con documentación técnica, operativa y de emergencia

 

Personal

Se debe observar este punto con mucho cuidado, ya quehablamos de las personas que están ligadas al sistema de información de formadirecta y se deberá contemplar principalmente:

  • la dependencia del sistema a nivel operativo y técnico
  • evaluación del grado de capacitación operativa y técnica
  • contemplar la cantidad de personas con acceso operativo y administrativo
  • conocer la capacitación del personal en situaciones de emergencia

 

Medios de Control

Se debe contemplar la existencia de medios de control paraconocer cuando se produce un cambio o un fraude en el sistema.

También se debe observar con detalle el sistema ya que podríagenerar indicadores que pueden actuar como elementos de auditoría inmediata,aunque esta no sea una especificación del sistema.

 

Rasgos del Personal

Se debe ver muy cuidadosamente el carácter del personalrelacionado con el sistema, ya que pueden surgir:

  • malos manejos de administración
  • malos manejos por negligencia
  • malos manejos por ataques deliberados

 

Instalaciones

Es muy importante no olvidar las instalaciones físicas y deservicios, que significan un alto grado de riesgo. Para lo cual se debeverificar:

  • la continuidad del flujo eléctrico
  • efectos del flujo eléctrico sobre el software y hardware
  • evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
  • verificar si existen un diseño, especificación técnica, manual o algún tipo de documentación sobre las instalaciones

 

Control de Residuos

Observar como se maneja la basura de los departamentos demayor importancia, donde se almacena y quien la maneja.

 

Establecer las Areas y Grados de Riesgo

Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que corre la información y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la función informática y los medios de prevención que se deben tener, para lo cual se debe:

 

Establecer el Costo del Sistema de Seguridad (Análisis Costo vs Beneficio)

Este estudio se realiza considerando el costo que se presentacuando se pierde la información vs el costo de un sistema de seguridad.

 

Para realizar este estudio se debe considerar lo siguiente:

  • clasificar la instalación en términos de riesgo (alto, mediano, pequeño)
  • identificar las aplicaciones que tengan alto riesgo
  • cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con un alto riesgo
  • formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera
  • la justificación del costo de implantar las medidas de seguridad

 

 

 

 

Costo x perdidaCosto del

de información sistema de seguridad

 

 

 

 

Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en áreas de riesgo que pueden ser:

 

Riesgo Computacional

Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual es importante considerar responder las siguientes cuatro preguntas:

 

1. ¿Qué sucedería si no se puede utilizar el sistema? Si el sistema depende de la aplicación por completo se debe definir el nivel de riesgo.

Por ejemplo citemos:

    • Un sistema de reservación de boletos que dependa por completo de un sistema computarizado, es un sistema de alto riesgo.
    • Una lista de clientes será de menor riesgo.
    • Un sistema de contabilidad fuera del tiempo de balance será de mucho menor riesgo.

 

2. ¿Qué consecuencias traería si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algún modo de cómo se soluciono este problema en el pasado.

 

3. ¿Existe un procedimiento alternativo y que problemas ocasionaría? Se debe verificar si el sistema es único o es que existe otro sistema también computarizado de apoyo menor. Ejemplo: Sí el sistema principal esta diseñado para trabajar en red sea tipo WAN quizá haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturación en red, si esta cae, quizá pudiese trabajar en forma distribuida con un módulo menor monousuario y que tenga la capacidad de que al levantarse la red existan métodos de actualización y verificación automática.

 

4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando:

    • Que exista un sistema paralelo al menos manual
    • Si hay sistemas duplicados en las áreas críticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado).
    • Si hay sistemas de energía ininterrumpida UPS.
    • Si las instalaciones eléctricas, telefónicas y de red son adecuadas (se debe contar con el criterio de un experto).
    • Si se cuenta con un método de respaldo y su manual administrativo.

 

Conclusión

Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, señalando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades.

 

Consideración y Cuantificación del Riesgo a Nivel Institucional (importante)

Ahora que se han establecido los riesgos dentro la organización, se debe evaluar su impacto a nivel institucional, para lo cual se debe:

  • Clasificar la información y los programas de soporte en cuanto a su disponibilidad y recuperación.
  • Identificar la información que tenga un alto costo financiero en caso de perdida o pueda tener impacto a nivel ejecutivo o gerencial.
  • Determinar la información que tenga un papel de prioridad en la organización a tal punto que no pueda sobrevivir sin ella.

 

Una vez determinada esta información se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensión en el procesamiento y que cuantifiquen el impacto que podrían causar estas situaciones.

 

Disposiciones que Acompañan la Seguridad

De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organización, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar:

  • Obtener una especificación de las aplicaciones, los programas y archivos de datos.
  • Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso.
  • Prioridades en cuanto a acciones de seguridad de corto y largo plazo.
  • Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que los programadores no cuenten con acceso a la sección de operación ni viceversa.
  • Que los operadores no sean los únicos en resolver los problemas que se presentan.

 

Higiene

Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las áreas involucradas de la organización (centro de computo y demás dependencias), pues esto ayudará a detectar problemas de disciplina y posibles fallas en la seguridad.

También podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulación de desperdicios y limita las posibilidades de accidentes. (ejm del rastrillo)

Ademas es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal.

 

 

Cultura Personal

Cuando hablamos de información, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podría definir la existencia o no de los más altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo.

 

Conclusión

El fin de este punto es encontrar y evitar posibles situaciones de roce entre el recurso humano y la organización y lograr una mejor comunicación entre ambos.

 

 

 

Consideraciones para Elaborar un

Sistema de Seguridad Integral

 

Como hablamos de realizar la evaluación de la seguridad esimportante también conocer como desarrollar y ejecutar el implantar un sistemade seguridad.

 

Desarrollar un sistema de seguridad significa: "planear,organizar coordinar dirigir y controlar las actividades relacionadas a mantenery garantizar la integridad física de los recursos implicados en la funcióninformática, así como el resguardo de los activos de la empresa."

 

Por lo cual podemos ver las consideraciones de un sistema deintegral de seguridad.

 

Sistema Integral de Seguridad

Un sistema integral debe contemplar:

  • Definir elementos administrativos
  • Definir políticas de seguridad
  • A nivel departamental
  • A nivel institucional
  • Organizar y dividir las responsabilidades
  • Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.)
  • Definir prácticas de seguridad para el personal:
  • Plan de emergencia (plan de evacuación, uso de recursos de emergencia como extinguidores.
  • Números telefónicos de emergencia
  • Definir el tipo de pólizas de seguros
  • Definir elementos técnicos de procedimientos
  • Definir las necesidades de sistemas de seguridad para:
  • Hardware y software
  • Flujo de energía
  • Cableados locales y externos
  • Aplicación de los sistemas de seguridad incluyendo datos y archivos
  • Planificación de los papeles de los auditores internos y externos
  • Planificación de programas de desastre y sus pruebas (simulación)
  • Planificación de equipos de contingencia con carácter periódico
  • Control de desechos de los nodos importantes del sistema:
  • Política de destrucción de basura copias, fotocopias, etc.
  • Consideración de las normas ISO 14000

 

 

 

Etapas para Implementar un Sistema de Seguridad

Para dotar de medios necesarios para elaborar su sistema deseguridad se debe considerar los siguientes puntos:

  • Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.
  • Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos, y ambientales.
  • Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:

 

 

Plan de Seguridad Ideal (o Normativo)

Un plan de seguridad para un sistema de seguridad integraldebe contemplar:

  • El plan de seguridad debe asegurar la integridad y exactitud de los datos
  • Debe permitir identificar la información que es confidencial
  • Debe contemplar áreas de uso exclusivo
  • Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles
  • Debe asegurar la capacidad de la organización para sobrevivir accidentes
  • Debe proteger a los empleados contra tentaciones o sospechas innecesarias
  • Debe contemplar la administración contra acusaciones por imprudencia

 

Un punto de partida será conocer como será la seguridad, deacuerdo a la siguiente ecuación.

 

 

Riesgo

SEGURIDAD = ---------------------------------------------

Medidas preventivas y correctivas

 

 

Donde:

Riesgo (roles, fraudes, accidentes, terremotos, incendios,etc)

Medidas pre.. (políticas, sistemas de seguridad, planes deemergencia, plan de resguardo, seguridad de personal, etc)

 

Consideraciones para con el Personal

Es de gran importancia la elaboración del plan considerandoel personal, pues se debe llevar a una conciencia para obtener una autoevaluaciónde su comportamiento con respecto al sistema, que lleve a la persona a:

 

    • Asumir riesgos
    • Cumplir promesas
    • Innovar

 

 

 

 

Para apoyar estos objetivos se debe cumplir los siguientespasos:

Motivar

Se debe desarrollar métodos de participación reflexionando sobre lo que significa la seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo y individual.

 

Capacitación General

En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación entre seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este punto es que se podrán detectar las debilidades y potencialidades de la organización frente al riesgo.

Este proceso incluye como práctica necesaria la implantación la ejecución de planes de contingencia y la simulación de posibles delitos.

 

Capacitación de Técnicos

Se debe formar técnicos encargados de mantener la seguridad como parte de su trabajo y que esté capacitado para capacitar a otras personas en lo que es la ejecución de medidas preventivas y correctivas.

 

Ética y Cultura

Se debe establecer un método de educación estimulando el cultivo de elevados principios morales, que tengan repercusión a nivel personal e institucional.

De ser posible realizar conferencias periódicas sobre: doctrina, familia, educación sexual, relaciones humanas, etc.

 

Etapas para Implantar un Sistema de Seguridad en Marcha

Para hacer que el plan entre en vigor y los elementosempiecen a funcionar y se observen y acepten las nuevas instituciones, leyes ycostumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos:

 

  1. Introducir el tema de seguridad en la visión de la empresa.
  2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.
  3. Capacitar a los gerentes y directivos, contemplando el enfoque global.
  4. Designar y capacitar supervisores de área.
  5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
  6. Mejorar las comunicaciones internas.
  7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
  8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.

 

Beneficios de un Sistema de Seguridad

Los beneficios de un sistema de seguridad bien elaborado soninmediatos, ya que el la organización trabajará sobre una plataformaconfiable, que se refleja en los siguientes puntos:

  • Aumento de la productividad.
  • Aumento de la motivación del personal.
  • Compromiso con la misión de la compañía.
  • Mejora de las relaciones laborales.
  • Ayuda a formar equipos competentes.
  • Mejora de los climas laborales para los RR.HH.

 

Elaborado por Jose Alfredo Jimenez

alfredo_jimenez@megalink.com

Articulos relacionados:
Preparación de los docentes en el SISCONT: propuesta de ejercicios y orientaciones metodológicas en la asignatura Computación Aplicada (pdf)
Resumen:
El objetivo de la presente investigación está dirigido a: Proponer ejercicios y orientaciones metodológicas relacionadas con el Subsistema Inventarios de la asignatura Co...
Extensiones de archivos en Windows (pdf)
Resumen:
Este documento pretende mostrar y distinguir rápidamente los tres (o cuatro caracteres) que suelen ir asociados a los nombres de archivos informáticos. Aprenderás que un ...
Las Tecnologías de la Informática y las Comunicaciones. Situación actual e importancia de su empleo en el proceso de enseñanza y aprendizaje.
Resumen:
La introducción de las tecnologías de la informática y las comunicaciones en el proceso de enseñanza y aprendizaje adquiere cada día mayor importancia por el impacto posi...
Introducción a la Informática
Resumen:
Conceptualización: Ingenieria en Sistemas; Informática; Computación; Introducción al Procesamiento de Datos; Terminología básica; Dato e Información; Etapas y tipos de pr...
Estimación de Software (ppt)
Resumen:
Un proyecto es un esfuerzo temporal acometido para crear un único servicio o producto. Temporal quiere decir que todo proyecto tiene un comienzo claro y un final claro. Ú...
Copyright © 2011 ilustrados.com, Monografias, tesis, bibliografias, educacion. Tofos los temas y publicaciones son propiedad de sus respectivos autores ©